Rapports analyse scan suite a virus sur msn

Question

Bonjour,

Je viens de me faire infecter apres avoir clique sur un lien recu par msn, qui ne provenait en fait pas de mon correspondant.

J'ai suivi la procédure décrit sur ce sujet ici:
http://www.commentcamarche.net/faq/sujet 3174 virus methode preliminaire de desinfection version fr

J'ai donc lancé CCleaner jusqu'a ce qu'il ne trouve plus de virus. Il en avait trouvé 2 seulement.

J'ai ensuite lancé AVG anti-spyware et voici le rapport que j'obtiens:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	10:52:10 AM 11/16/2008

 + Résultat de l'analyse:	



C:\Documents and Settings\User\Desktop\Magic\others\pennytration.ZIP/pennytration.exe -> Downloader.Agent.xgw : Nettoyé.
C:\Documents and Settings\User\Cookies\user@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\User\Cookies\user@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\User\Cookies\user@argusauto2.solution.weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\User\Cookies\user@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\User\Cookies\user@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport

J'ai ensuite scanne mon PC avec bitdeffender en ligne.

Il m'a supprime pas mal de virus mais au final je suis toujours infecte. Voici le rapport de BitDeFender:

---------------------------------------------------------
BitDefender Online Scanner
---------------------------------------------------------

 
Scan report generated at: Sun, Nov 16, 2008 - 14:18:52

Scan path: C:\;D:\;
 
 
Statistics
 
Time
 03:16:23
 
Files
 592925
 
Folders
 11661
 
Boot Sectors
 0
 
Archives
 7151
 
Packed Files
 42594
 
  
  
 
Results
 
Identified Viruses 
 2
 
Infected Files 
 17
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 14
 
  
  
 
Engines Info
 
Virus Definitions
 2355745
 
Engine build
 AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
 
Scan plugins
 17
 
Archive plugins
 45
 
Unpack plugins
 7
 
E-mail plugins
 6
 
System plugins
 4
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\Documents and Settings\User\Local Settings\Temp\IXP001.TMP\bur.exe
 Infected with: MemScan:Backdoor.RBot.YBJ
 
C:\Documents and Settings\User\Local Settings\Temp\IXP001.TMP\bur.exe
 Disinfection failed
 
C:\Documents and Settings\User\Local Settings\Temp\IXP001.TMP\bur.exe
 Deleted
 
C:\Documents and Settings\User\Local Settings\Temp\IXP002.TMP\bur.exe
 Infected with: MemScan:Backdoor.RBot.YBJ
 
C:\Documents and Settings\User\Local Settings\Temp\IXP002.TMP\bur.exe
 Disinfection failed
 
C:\Documents and Settings\User\Local Settings\Temp\IXP002.TMP\bur.exe
 Deleted
 
C:\Documents and Settings\User\Local Settings\Temp\IXP003.TMP\bur.exe
 Infected with: MemScan:Backdoor.RBot.YBJ
 
C:\Documents and Settings\User\Local Settings\Temp\IXP003.TMP\bur.exe
 Disinfection failed
 
C:\Documents and Settings\User\Local Settings\Temp\IXP003.TMP\bur.exe
 Deleted
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030876.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030876.dll
 Disinfection failed
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030876.dll
 Deleted
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030904.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030904.dll
 Disinfection failed
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030904.dll
 Deleted
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030947.com=>(CAB Sfx r)=>bur.exe
 Infected with: MemScan:Backdoor.RBot.YBJ
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030947.com=>(CAB Sfx r)=>bur.exe
 Deleted
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0030947.com=>(CAB Sfx r)
 Update failed
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0031428.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0031428.dll
 Disinfection failed
 
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP72\A0031428.dll
 Deleted
 
C:\WINDOWS\fxstaller.exe
 Infected with: MemScan:Backdoor.RBot.YBJ
 
C:\WINDOWS\fxstaller.exe
 Deleted
 
C:\WINDOWS\system32\awtrPgET.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\awtrPgET.dll
 Disinfection failed
 
C:\WINDOWS\system32\awtrPgET.dll
 Delete failed
 
C:\WINDOWS\system32\ddsdhted.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\ddsdhted.dll
 Disinfection failed
 
C:\WINDOWS\system32\ddsdhted.dll
 Deleted
 
C:\WINDOWS\system32\fccdASiG.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\fccdASiG.dll
 Disinfection failed
 
C:\WINDOWS\system32\fccdASiG.dll
 Delete failed
 
C:\WINDOWS\system32\kaehxxwm.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\kaehxxwm.dll
 Disinfection failed
 
C:\WINDOWS\system32\kaehxxwm.dll
 Deleted
 
C:\WINDOWS\system32\lkpwrd.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\lkpwrd.dll
 Disinfection failed
 
C:\WINDOWS\system32\lkpwrd.dll
 Deleted
 
C:\WINDOWS\system32\mciwmgwl.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\mciwmgwl.dll
 Disinfection failed
 
C:\WINDOWS\system32\mciwmgwl.dll
 Deleted
 
C:\WINDOWS\system32\puvdux.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\puvdux.dll
 Disinfection failed
 
C:\WINDOWS\system32\puvdux.dll
 Deleted
 
C:\WINDOWS\system32\srfsaffg.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\srfsaffg.dll
 Disinfection failed
 
C:\WINDOWS\system32\srfsaffg.dll
 Deleted
 
C:\WINDOWS\system32\vpaqef.dll
 Infected with: Trojan.Vundo.Gen.3
 
C:\WINDOWS\system32\vpaqef.dll
 Disinfection failed
 
C:\WINDOWS\system32\vpaqef.dll
 Delete failed
 
 Fin du rapport

Et pour finir la proceure, j'ai lance HijackThis, voici le rapport que j'obtiens:
---------------------------------------------------------
HijackThis
---------------------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:27:09 PM, on 11/16/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\fsf\magnibar\magnibar.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\NetWaiting
etWaiting.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Metacafe\MetacafeAgent.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
C:\PROGRA~1\MICROS~2\Office12\OIS.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32undll32.exe
C:\PROGRA~1\MICROS~2\Office12\OIS.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\PROGRA~1\AVG\AVG8\avgscanx.exe
C:\Documents and Settings\User\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.ca/ig/dell?hl=en&client=dell-row&channel=ca&ibd=3080307
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.ca/hws/sb/dell-row/en/side.html?channel=ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.ca/ig/dell?hl=en&client=dell-row&channel=ca&ibd=3080307
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://marketingtips.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {57B66126-EA6A-4734-B5CB-BB3313E78C20} - C:\WINDOWS\system32\awtrPgET.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccdASiG.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: {50e3898b-c22d-af7b-efb4-b8e1afc72d5c} - {c5d27cfa-1e8b-4bfe-b7fa-d22cb8983e05} - C:\WINDOWS\system32\vpaqef.dll
O2 - BHO: (no name) - {f0292f5c-6f3e-4610-8bfe-c1700c453a90} - C:\WINDOWS\system32\dejezibi.dll (file missing)
O3 - Toolbar: Power Search Tool - {A08C6464-8102-465D-BB4B-3C1458E7F57F} - C:\Program Files\Power Search Tool\PowerSearchTool4_0.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll (file missing)
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [dscactivate] "%ProgramFiles%\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MagniBar] "C:\fsf\magnibar\magnibar.exe"
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [kunahadodi] Rundll32.exe "C:\WINDOWS\system32\febuwigi.dll",s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ModemOnHold] C:\Program Files\NetWaiting
etWaiting.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [news-1tpe] C:\Documents and Settings\User\Desktop
ews-1tpe.exe
O4 - Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: FreshDownload - {2C38B8E8-0904-4696-89C0-27A9B4C4284F} - C:\Program Files\FreshDevices\FreshDownload\fd.exe (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://marketingtips.webex.com/client/T26L/webex/ieatgpc.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,C:\WINDOWS\system32\bidiyije.dll vpaqef.dll,C:\WINDOWS\system32\miduyevu.dll,C:\WINDOWS\system32\gehumuro.dll,C:\WINDOWS\system32\depohowi.dll
O20 - Winlogon Notify: fccdASiG - C:\WINDOWS\SYSTEM32\fccdASiG.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Utilisateur anonyme · Answer

bonjour , non c'est bon tu n'as rien oublié , en revanche il ya du travail sur ton pc , tu es bien infecte !



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

Fabieng · Answer

Merci pour votre réponse.

J'ai suivi votre procédure.

Après avoir démarré en mode sans échec comme vous me l'avez indiqué. J'avais le choix entre compte administrateur ou compte utilisateur. J'ai choisi compte administrateur, je ne pense pas que ce choix est une grande importance mais je le précise au cas ou.

Après avoir lancé RunThis.Bat, j'ai appuyé sur Y. Et la dans ma fenêtre SDFix, il y avait ce message de 2 lignes:

Starting repairs
Checking Running  Processes and services


Cette fenêtre est resté plusieurs heures comme ca sans bouger, au moins 12 heures car j'ai laissé le PC tourné toute la nuit avec la le programme SDFix en marche.

Ensuite le lendemain matin comme rien n'a évolué, j'ai décidé de redémarrer mon ordinateur. En appuyant sur n'importe quelle touche rien ne se passait, j'ai donc du redémarrer en appuyant sur le bouton d'alimentation de mon pc. Peut être aurais je du attendre encore quelques heures mais comme j'avais l'impression que rien ne se passait, j'ai arrêté.

Mon pc a donc redémarré et la une autre fenêtre s'est ouverte:

Final Check
Running Catch me - Rootkit/Stealth Malware Detector by Gmer (www.gmer.com)
Please wait

J'ai donc attendu jusqu'à ce que le processus soit fini. Puis finished et le rapport de SDFix me sont bien apparu donc a ce niveau la c'est OK.

J'ai subitement eu une fenêtre m'indiquant ceci:

Error loading c:\windows\system32\febuwigi.dll
J'ai cliqué sur OK.

Et la j'ai eu plein de fenêtres de mon anti virus AVG qui se sont affichées  

Do you want to force the threat removal
Yes or No
Forced removal can cause system unstability or even crash

J'ai cliqué sur No mais a chaque fois que je cliquais No la même fenêtre réapparaissait, j'ai donc clique sur Yes et la mon PC est devenu instable, une fenêtre bleu s'est ouverte et j'ai du appuyé sur le bouton d'alimentation de mon pc pour le redémarrer.

Mon pc a redémarré m'indiquant le même fichier dll manquant puis des fenêtres qui continue de s'ouvrir dans mon navigateur, ainsi que des détections d'anti virus.


Merci de votre aide car effectivement mon pc est vraiment bien infecté. Pour info, c'est un ordinateur portable avec windows XP installé.
Voici le fameux rapport de SDFix:

-------------------------------------------------------------------------------------------------------------

[b]Checking Files /b: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 11:02:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\Grisoft\AVG7\avginet.exe"="C:\Program Files\Grisoft\AVG7\avginet.exe:*:Enabled:avginet.exe"
"C:\Program Files\Grisoft\AVG7\avgamsvr.exe"="C:\Program Files\Grisoft\AVG7\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\Program Files\Grisoft\AVG7\avgcc.exe"="C:\Program Files\Grisoft\AVG7\avgcc.exe:*:Enabled:avgcc.exe"
"C:\WINDOWS\system32\muzapp.exe"="C:\WINDOWS\system32\muzapp.exe:*:Enabled:MUZ AOD APP player"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\AVG\AVG8\avgupd.exe"="C:\Program Files\AVG\AVG8\avgupd.exe:*:Enabled:avgupd.exe"
"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Program Files\Yahoo!\Messenger\YServer.exe"="C:\Program Files\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\Conference\Conference.dll"="C:\Program Files\Conference\Conference.dll:*:Enabled:Audio/Video Conference"
"C:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe"="C:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe:*:Enabled:Adobe Dreamweaver CS3"
"C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"="C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:*:Enabled:Apache HTTP Server"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:firefox"
"C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Enabled:explorer"
"C:\Program Files\AVG\AVG8\avgscanx.exe"="C:\Program Files\AVG\AVG8\avgscanx.exe:*:Enabled:avgscanx"
"C:\WINDOWS\system32\logonui.exe"="C:\WINDOWS\system32\logonui.exe:*:Enabled:logonui"
"C:\Program Files\AVG\AVG8\avgrsx.exe"="C:\Program Files\AVG\AVG8\avgrsx.exe:*:Enabled:avgrsx"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\WINDOWS\system32\winlogon.exe"="C:\WINDOWS\system32\winlogon.exe:*:Enabled:winlogon"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files /b:



[b]Files with Hidden Attributes /b:

Wed  8 Oct 2008     6,108,728 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Sat 16 Aug 2008        63,488 A.SH. --- "C:\WINDOWS\system32\depohowi.dll"
Sat 16 Aug 2008        63,488 A.SH. --- "C:\WINDOWS\system32\gehumuro.dll"
Sat 16 Aug 2008        63,488 A.SH. --- "C:\WINDOWS\system32\guhukene.dll"
Mon 17 Nov 2008         2,713 ..SH. --- "C:\WINDOWS\system32\vujigami.exe"
Fri 15 Aug 2008        67,584 A.SH. --- "C:\WINDOWS\system32\wagitiru.dll"
Thu  1 May 2008         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu  8 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\385cb67dda0ffd4dea8c0d990dc65796\BIT1.tmp"

[b]Finished!/b

Utilisateur anonyme · Answer

bonjour , ne t'inquiete pas pour l'erreur de chargement de la dll , c'est une dll infectee qui n'as pu se charger ( bonne nouvelle , un de moins mais il y en as encore pas mal) , on va taper un grand coups dedans 





Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Fabieng · Answer

Bonjour,

Merci encore pour votre réponse.
J'ai suivi exactement votre procédure.
Comment est ce que je peux faire après pour restaurer les dll qui ont été effacés dont mon système d'exploitation a besoin pour fonctionner correctement?

Voici le rapport qui a été généré dans le fichier C:\Combofix.txt



ComboFix 08-12-18.03 - User 2008-12-20 11:23:36.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1033.18.1918.1332 [GMT 1:00]
Running from: c:\documents and settings\User\Desktop\ComboFix.exe
 * Created a new restore point

[COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\User\LOCALS~1\Temp	mp1.tmp
c:\docume~1\User\LOCALS~1\Temp	mp2.tmp
c:ecycler\ADAPT_Installer.exe
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
c:\windows\fxstaller.exe
c:\windows\system32\bvrmeekq.ini
c:\windows\system32\ddcAsrRH.dll
c:\windows\system32\efcARhef.dll
c:\windows\system32\fcccdAQk.dll
c:\windows\system32\guvgaxet.dll
c:\windows\system32\hgGvwuvS.dll
c:\windows\system32\hpyrrfev.dll
c:\windows\system32\iiffGVPJ.dll
c:\windows\system32\jkkIbAQi.dll
c:\windows\system32\khfGabCV.dll
c:\windows\system32\ljJYSJYo.dll
c:\windows\system32\ljJyyvwu.dll
c:\windows\system32\lvtsfmbt.ini
c:\windows\system32\mcrh.tmp
c:\windows\system32\mwxxheak.ini
c:\windows\system32
nnmjKaX.dll
c:\windows\system32
rswbbno.ini
c:\windows\system32\pmnnOEwv.dll
c:\windows\system32\pmnoljgH.dll
c:\windows\system32qRijJDU.dll
c:\windows\system32\ssqNFWNg.dll
c:\windows\system32\TEgPrtwa.ini
c:\windows\system32\TEgPrtwa.ini2
c:\windows\system32	exagvug.ini
c:\windows\system32	uvTJARK.dll
c:\windows\system32\vpaqef.dll
c:\windows\system32\vtUKcAsr.dll
c:\windows\system32\vtUnOghH.dll
c:\windows\system32\xsanyg.dll
c:\windows\Tasks\vbutdklf.job

.
(((((((((((((((((((((((((   Files Created from 2008-11-20 to 2008-12-20  )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-20 10:30	---------	d-----w	c:\documents and settings\User\Application Data\Skype
2008-12-20 10:28	---------	d-----w	c:\program files\Common Files\Akamai
2008-12-13 06:40	3,593,216	----a-w	c:\windows\system32\dllcache\mshtml.dll
2008-11-24 01:58	---------	d-----w	c:\program files\Roxio
2008-11-22 13:10	---------	d-----w	c:\program files\Common Files\Symantec Shared
2008-11-20 02:23	---------	d-----w	c:\program files\Bonjour
2008-11-19 10:17	---------	d-----w	c:\documents and settings\User\Application Data\StarOffice8
2008-11-19 10:17	---------	d-----w	c:\documents and settings\User\Application Data\OpenOffice.org2
2008-11-19 10:12	---------	d-----w	c:\documents and settings\All Users\Application Data\Google Updater
2008-11-19 10:05	---------	d-----w	c:\documents and settings\User\Application Data\skypePM
2008-11-17 11:38	---------	d-----w	c:\documents and settings\All Users\Application Data\Metacafe
2008-11-17 03:45	2,713	--sh--w	c:\windows\system32\vujigami.exe
2008-11-16 02:41	---------	d-----w	c:\documents and settings\User\Application Data\gtk-2.0
2008-11-15 17:49	---------	d-----w	c:\documents and settings\User\Application Data\Grisoft
2008-11-15 17:48	---------	d-----w	c:\documents and settings\All Users\Application Data\Grisoft
2008-11-15 17:24	---------	d-----w	c:\program files\CCleaner
2008-11-14 23:09	---------	d-----w	c:\program files\AxBx
2008-11-14 12:25	---------	d-----w	c:\program files\Process Revealer Free Edition
2008-11-14 12:25	---------	d-----w	c:\documents and settings\All Users\Application Data\prfree
2008-11-13 20:29	---------	d-----w	c:\documents and settings\User\Application Data\FileZilla
2008-11-12 19:53	---------	d-----w	c:\program files\A360
2008-11-10 09:02	---------	d-----w	c:\documents and settings\All Users\Application Data\Microsoft Help
2008-11-06 10:55	---------	d-----w	c:\documents and settings\User\Application Data\webex
2008-11-06 02:46	---------	d-----w	c:\program files\Impact Web Audio
2008-11-05 09:24	---------	d-----w	c:\program files\Norton PC Checkup
2008-11-05 09:23	---------	d-----w	c:\program files\Notepad++
2008-11-05 00:00	642	----a-w	C:\scl.dat
2008-11-03 12:33	---------	d-----w	c:\program files\7-Zip
2008-11-01 17:45	---------	d-----w	c:\documents and settings\All Users\Application Data\FLEXnet
2008-11-01 17:35	---------	d-----w	c:\program files\Common Files\Adobe
2008-11-01 17:22	---------	d-----w	c:\program files\Common Files\Macrovision Shared
2008-10-27 08:38	---------	d-----w	c:\program files\Dreamweaver 2
2008-10-24 11:10	453,632	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 11:10	453,632	------w	c:\windows\system32\dllcache\mrxsmb.sys
2008-10-23 13:01	283,648	----a-w	c:\windows\system32\gdi32.dll
2008-10-23 13:01	283,648	------w	c:\windows\system32\dllcache\gdi32.dll
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:11	70,656	------w	c:\windows\system32\dllcache\ie4uinit.exe
2008-10-16 13:11	13,824	------w	c:\windows\system32\dllcache\ieudinit.exe
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\dllcache\wups.dll
2008-10-16 13:06	268,648	----a-w	c:\windows\system32\mucltui.dll
2008-10-16 13:06	208,744	----a-w	c:\windows\system32\muweb.dll
2008-10-15 16:57	332,800	------w	c:\windows\system32\dllcache
etapi32.dll
2008-10-15 07:06	633,632	------w	c:\windows\system32\dllcache\iexplore.exe
2008-10-15 07:04	161,792	------w	c:\windows\system32\dllcache\ieakui.dll
2008-10-03 10:15	247,326	----a-w	c:\windows\system32\strmdll.dll
2008-10-03 10:15	247,326	------w	c:\windows\system32\dllcache\strmdll.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-11-06 10:54	27,976	----a-w	c:\program files\mozilla firefox\plugins\atgpcdec.dll
2008-11-06 10:54	126,360	----a-w	c:\program files\mozilla firefox\plugins\atgpcext.dll
2008-10-23 18:29	46,408	----a-w	c:\program files\mozilla firefox\plugins\atmccli.dll
2008-10-23 18:29	98,712	----a-w	c:\program files\mozilla firefox\plugins\ieatgpc.dll
2008-10-15 09:31	122,880	----a-w	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-08-16 09:38	63,488	--sha-w	c:\windows\system32\guhukene.dll
2008-08-15 17:43	67,584	--sha-w	c:\windows\system32\wagitiru.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ModemOnHold"="c:\program files\NetWaiting
etWaiting.exe" [2003-09-10 20480]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-05-30 21718312]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-07 68856]
"Yahoo! Pager"="c:\progra~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-09-22 761947]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2007-02-20 1191936]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-10-09 2183168]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-10 49152]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-10-15 29744]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2007-05-24 17920]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2007-10-10 16384]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"MagniBar"="c:\fsf\magnibar\magnibar.exe" [2007-07-05 6135808]
"SMSTray"="c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-09-20 132624]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2008-06-27 185896]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-15 1261336]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"SigmatelSysTrayApp"="stsystra.exe" [2006-09-22 c:\windows\stsystra.exe]

c:\documents and settings\User\Start Menu\Programs\Startup\
Metacafe.lnk - c:\program files\Metacafe\MetacafeAgent.exe [2008-06-29 145736]
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
StarOffice 8.lnk - c:\program files\Sun\StarOffice 8\program\quickstart.exe [2008-01-21 122880]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-03-07 24576]
Metacafe.lnk - c:\program files\Metacafe\MetacafeAgent.exe [2008-06-29 145736]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= "c:\progra~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\WINDOWS\system32\muzapp.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\AVG\AVG8\avgupd.exe"=
"c:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"=
"c:\Program Files\Yahoo!\Messenger\YServer.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Conference\Conference.dll"=
"c:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe"=
"c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\AVG\AVG8\avgscanx.exe"=
"c:\Program Files\AVG\AVG8\avgrsx.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9420:TCP"= 9420:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-08-04 97928]
R2 Akamai;Akamai;c:\windows\System32\svchost.exe -k Akamai [2004-08-10 14336]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-08-04 231704]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-06-13 1527900]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-03-07 29744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f86546f-04db-11dd-8dab-00164481aa9b}]
\Shell\AutoRun\command - E:\multiset_player.exe /a
.
Contents of the 'Scheduled Tasks' folder

2008-11-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-11-22 c:\windows\Tasks\At1.job
- c:\program files
orton pc checkup\pc_checkup.exe [2008-06-29 22:50]

2008-11-23 c:\windows\Tasks\At2.job
- c:\program files
orton pc checkup\pc_checkup.exe [2008-06-29 22:50]

2008-11-17 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

2008-10-10 c:\windows\Tasks\Norton Security Scan.job
- c:\program files\Norton Security Scan\Nss.exe [2007-09-18 22:42]

2008-12-20 c:\windows\Tasks\User_Feed_Synchronization-{D362DD7B-E47C-4B40-8C02-9C6BF4847C76}.job
- c:\windows\system32\msfeedssync.exe [2007-08-14 00:36]
.
- - - - ORPHANS REMOVED - - - -

BHO-{89422F08-A065-498E-B103-E7FD2F95F16F} - c:\windows\system32\awtrPgET.dll
BHO-{c8f32229-f119-4256-bd96-2517403f0cf1} - c:\windows\system32\xsanyg.dll
BHO-{f0292f5c-6f3e-4610-8bfe-c1700c453a90} - c:\windows\system32\dejezibi.dll
Toolbar-{A08C6464-8102-465D-BB4B-3C1458E7F57F} - c:\program files\Power Search Tool\PowerSearchTool4_0.dll
WebBrowser-{A08C6464-8102-465D-BB4B-3C1458E7F57F} - c:\program files\Power Search Tool\PowerSearchTool4_0.dll
HKCU-Run-news-1tpe - c:\documents and settings\User\Desktop
ews-1tpe.exe
HKLM-Run-kunahadodi - c:\windows\system32\febuwigi.dll
Notify-fccdASiG - fccdASiG.dll


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://www.marketingtips.com/
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{2C38B8E8-0904-4696-89C0-27A9B4C4284F} - c:\program files\FreshDevices\FreshDownload\fd.exe
IE: {{2C38B8E8-0904-4696-89C0-27A9B4C4284F} - c:\program files\FreshDevices\FreshDownload\fd.exe -
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-20 11:28:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(792)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\wdfmgr.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.exe
c:\windows\system32undll32.exe
c:\program files\Logitech\Video\FxSvr2.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 2.4\program\soffice.exe
c:\program files\Sun\StarOffice 8\program\soffice.exe
c:\program files\Sun\StarOffice 8\program\soffice.bin
c:\program files\OpenOffice.org 2.4\program\soffice.bin
c:\progra~1\Yahoo!\MESSEN~1\Ymsgr_tray.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.exe
.
**************************************************************************
.
Completion time: 2008-12-20 11:34:14 - machine was rebooted
ComboFix-quarantined-files.txt  2008-12-20 10:34:03

Pre-Run: 47,630,807,040 bytes free
Post-Run: 47,737,380,864 bytes free

279	--- E O F ---	2008-11-17 12:08:10


Pour info j'ai eu une fenêtre me disant de télécharger Window Recovery Console pendant que l'exécution du programme combofix.exe, mais comme je n'étais pas connecte a Internet, j'ai clique sur No. 
Le programme a dure environ 10 mn.
Pensez vous que je suis encore infecte?

Utilisateur anonyme · Answer

bonjour poste un nouveau rapport hijackthis , on va regarder , combofix as bien travaillé il a fait du vide !!

Utilisateur anonyme · Answer

bonsoir , tu n'as plus d'alertes , mais il est possible qu'il reste des saletées cachées suis ces directives afin d'etre sure qu'il ne reste plus de crasses .



1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" n'est pas coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse , copie et colle le rapport dans ta prochaine réponse . Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

Utilisateur anonyme · Answer

bonjour bien,  mbma a supprimer le faux antivirus 360 le reste etaient dejas dans la quarentaine de combofix , tu peu  vider la quarentaine de malwarebytes ou les laisser , c'est comme tu le prefere , ils sont encryptés et ne peuvent sortirent !




· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
https://www.commentcamarche.net/telecharger/ 34055291 toolscleaner
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).




ensuite nettoyage + reparation des erreurs du registre


-- CCleaner
https://www.ccleaner.com/ccleaner/download
Choisi de préférence la version SLIM-No Toolbar.
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Pour les autres paramètres, laisse-le avec ses réglages par défaut.

Puis dans le menu Nettoyeur
Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage
clique sur registre cherche et répare les erreurs effectue trois fois la manip pour que se sois efficace !



et ensuite controle du travail effectue




* Fais un scan antivirus en ligne ICI :

https://www.bitdefender.fr/

et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree"
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

Tuto (merci Morgane)

http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

le rapport de scan se trouve ici

C:\windows\bdoscan8\scanres.txt ou scanres.html

Utilisateur anonyme · Answer

bonjour desoles mon premier a foiré voici  http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner


j'espere que tu n'as pas abandonné !! si tu  passe par ici pense stp a mettre le statut de ton poste en resolus stp

Fabieng · Answer

Bonsoir,

En ce qui concerne Toolscleaner, non je n'ai pas abandonne.

Voici d'ailleurs le rapport de scan:

[ Rapport ToolsCleaner version 2.2.8 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\User\Desktop\SdFix.exe: trouvé !
C:\Documents and Settings\User\Desktop\ComboFix.exe: trouvé !
C:\Documents and Settings\User\Desktop\HijackThis.exe: trouvé !
C:\Documents and Settings\User\Desktop\hijackthis.log: trouvé !
C:\Documents and Settings\User\Desktop\GenProc: trouvé !
C:\Documents and Settings\User\Desktop\Photos\GenProc: trouvé !
C:\Documents and Settings\User\Recent\HijackThis.lnk: trouvé !
C:\WINDOWS\NIRCMD.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\User\Desktop\SdFix.exe: supprimé !
C:\Documents and Settings\User\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\User\Desktop\HijackThis.exe: supprimé !
C:\Documents and Settings\User\Recent\HijackThis.lnk: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\User\Desktop\hijackthis.log: supprimé !
C:\WINDOWS\NIRCMD.exe: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\User\Desktop\GenProc: supprimé !
C:\Documents and Settings\User\Desktop\Photos\GenProc: supprimé !

Par contre en ce qui concerne bitdefender, j'ai lancé 2 fois la manipulation et a chaque fois après de longues heures de scan, environ une quinzaine d'heures, rien ne se passe, comme si quelque chose tournait en rond indéfiniment. 
J'ai donc abandonné avec bitdefender, je savais que ça pouvait durer assez longtemps, la première fois ça a duré un peu plus de 3 heures alors pourquoi maintenant au bout de 15 heures, j'ai toujours aucun résultat. peut être vaut il mieux que je réessaye ultérieurement. 

A propos le lien vers le tuto de Morgane n'est plus disponible:

http://pageperso.aol.fr/loraline60/bitdefender_scan.htm 

Je ne sais pas comment faire pour mettre le statut de mon poste en resolus, je vais chercher merci encore pour ton aide. Si je peux faire quelque chose pour te remercier fais le moi savoir.

Utilisateur anonyme · Answer

bonjour , ce fut pour moi un plaisir de pouvoir t'aider ! 

Si je peux faire quelque chose pour te remercier fais le moi savoir.

Merci , je n'y manquerais pas ! 

je te souhaite de bonnes fetes , et un bon surf ! (-_-) 

Touts mes voeux pour 2009  (-_-) (-_-) (-_-) (-_-) (-_-) (-_-) (-_-) (-_-) (-_-) (-_-) (-_-) (-_-) (-_-) (-_-)

Rapports analyse scan suite a virus sur msn

10 réponses

Votre réponse

Discussions similaires

Newsletters